Seit dem 1. August 2024 gilt mit der EU-KI-Verordnung (Verordnung (EU) 2024/1689) erstmals ein europaweiter Rechtsrahmen für die Entwicklung und Nutzung von Künstlicher Intelligenz (KI). Ziel der Verordnung ist es, Innovationen zu fördern, die Sicherheit und Grundrechte der Bürger zu schützen sowie Vertrauen in KI-Technologien zu schaffen. Der risikobasierte Ansatz dieser Verordnung bringt gestaffelte Pflichten und Anforderungen mit sich, die Unternehmen bereits jetzt beachten müssen.
Seit dem 1. August 2024 gilt mit der EU-KI-Verordnung (Verordnung (EU) 2024/1689) erstmals ein europaweiter Rechtsrahmen für die Entwicklung und Nutzung von Künstlicher Intelligenz (KI). Ziel der Verordnung ist es, Innovationen zu fördern, die Sicherheit und Grundrechte der Bürger zu schützen sowie Vertrauen in KI-Technologien zu schaffen. Der risikobasierte Ansatz dieser Verordnung bringt gestaffelte Pflichten und Anforderungen mit sich. Seit dem 2. Februar 2025 sind nun auch bereits erste Vorschriften zu beachten. Wir möchten Ihnen im Folgenden einen kurzen Überblick über die wichtigsten Punkte der KI-Verordnung geben.
Kurz erklärt:
Hintergrund und Zielsetzung
Die KI-Verordnung schafft erstmals spezifische rechtliche Anforderungen für KI-Systeme in der EU. Sie orientiert sich dabei an der OECD-Definition von KI-Systemen, die autonom, anpassungsfähig und in der Lage sind, Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen hervorzubringen, die physische oder virtuelle Umgebungen beeinflussen können. Die Regulierung betrifft jedoch nicht sämtliche Anwendungsbereiche: Nationale Sicherheitsaspekte, militärische Nutzung und private Zwecke bleiben außen vor.
Adressaten der KI-Verordnung
Die KI-VO richtet sich primär an Anbieter und Betreiber von KI-Systemen. Anbieter sind diejenigen, die ein KI-System entwickeln oder unter ihrem Namen in Verkehr bringen. Betreiber hingegen setzen KI-Systeme eigenverantwortlich ein. Die meisten Unternehmen in der EU werden in die Kategorie der Betreiber fallen, denn der Betreiber wird in Art. 3 Nr. 4 KI-VO als natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle definiert, die ein KI-System in eigener Verantwortung verwendet (Ausnahme: privater Gebrauch).
Unternehmen sind damit als Betreiber erfasst, wenn sie bestehende KI-Technologien nutzen, beispielsweise für Marketing, Automatisierung oder Kundeninteraktionen. Es ist jedoch nicht undenkbar, dass auch ein einfaches Unternehmen als Anbieter im Sinne der KI-VO einzuordnen wäre (z. B. durch Finetuning), dann gelten höhere Anforderungen. Auf die genaue Unterscheidung und die sich daraus ergebenden Konsequenzen, werden wir in einem nächsten News-Beitrag näher eingehen.
Kategorien und Pflichten der KI-Verordnung
Die KI-VO unterscheidet zwischen vier Risikokategorien von KI-Systemen: unannehmbares Risiko, hohes Risiko, geringes Risiko und minimales Risiko.
Unannehmbares Risiko – Verbotene Praktiken
Seit dem 2. Februar 2025 gelten strikte Verbote für KI-Praktiken, die ein unannehmbares Risiko für Grundrechte und Sicherheit darstellen. Dazu gehören Systeme mit Manipulations- und Täuschungstechniken, Social Scoring und emotionale Erkennungssysteme am Arbeitsplatz. Unternehmen sind verpflichtet, alle eingesetzten oder geplanten KI-Systeme auf verbotene Praktiken nach Art. 5 KI-VO zu überprüfen und sicherzustellen, dass solche Anwendungen unterlassen werden.
Hochrisiko-KI-Systeme
KI-Systeme, die ein hohes Risiko für Gesundheit, Sicherheit oder Grundrechte bergen, unterliegen strengen Anforderungen und umfangreichen Verpflichtungen. Unternehmen, die solche Systeme nutzen oder anbieten, müssen Governance-Strukturen etablieren, Datenschutz-Folgenabschätzungen durchführen und eine detaillierte Dokumentation gewährleisten. Beispielhaft genannt sei der Einsatz von KI im Personalmanagement, insbesondere bei Recruiting-Prozessen.
Hochrisiko-KI-Systeme müssen ab dem 2. August 2026 konform betrieben werden.
Minimales und geringes Risiko
Für KI-Systeme mit minimalem (z. B. Spam-Filter) oder geringem Risiko (z. B. einfache Chatbots) gelten vor allem Transparenzpflichten. Es muss klar erkennbar sein, wenn Nutzer mit einer KI statt einem Menschen interagieren. Dies betrifft unter anderem Online-Shops und Webseitenbetreiber. Die Transparenzpflichten sind ab dem 2. August 2026 zu beachten.
KI-Systeme mit allgemeinem Verwendungszweck
Für besonders leistungsstarke und vielseitig einsetzbare KI-Systeme, wie z. B. ChatGPT von OpenAI, gelten spezifische zusätzliche Verpflichtungen ab dem 2. August 2025. Unternehmen, die diese Systeme anbieten, müssen besonders hohe Compliance-Standards erfüllen.
KI-Kompetenz nach Artikel 4 KI-VO
Ein weiterer zentraler Punkt, der schon jetzt unbedingt zu beachten ist, ist die Verpflichtung zur Sicherstellung von KI-Kompetenz bei Mitarbeitern (seit 2. Februar 2025). Dies bedeutet, dass Anbieter und Betreiber von KI-Systemen gewährleisten müssen, dass ihre Beschäftigten über ausreichendes Fachwissen und Verständnis für technische, soziale, ethische und rechtliche Aspekte der KI verfügen. Unternehmen sollten daher interne Richtlinien entwickeln, regelmäßige Schulungen und Weiterbildungen durchführen sowie möglicherweise einen internen KI-Beauftragten einsetzen, der die Einhaltung der Standards koordiniert.
Governance und Aufsicht
Zur Überwachung der KI-Verordnung müssen alle EU-Mitgliedstaaten nationale KI-Aufsichtsbehörden einrichten. Zusätzlich existiert ein Europäischer Ausschuss für Künstliche Intelligenz sowie ein Amt für KI innerhalb der Europäischen Kommission, welches die Einhaltung der Verordnung bei allgemeinen KI-Modellen überwacht. In Deutschland wird dies voraussichtlich die Bundesnetzagentur übernehmen. Hierzu muss Deutschland noch bis 2. August 2025 ein Durchführungsgesetz erlassen.
Sanktionen bei Verstößen
Unternehmen müssen bei Verstößen gegen die KI-Verordnung mit erheblichen Sanktionen rechnen, darunter Geldbußen bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes für besonders schwerwiegende Verstöße. Geringere Verstöße können Bußgelder bis zu 15 Mio. Euro oder 3 % des weltweiten Jahresumsatzes nach sich ziehen. Das Bereitstellen falscher Informationen gegenüber Behörden wird mit bis zu 7,5 Mio. Euro oder 1 % des Jahresumsatzes sanktioniert. Die meisten Verstöße können bereits ab dem 2. August 2025 sanktioniert werden, hier sind noch Konkretisierungen durch den europäischen und deutschen Gesetzgeber zu erwarten.
Handlungsempfehlungen für Unternehmen
Unternehmen sollten unverzüglich prüfen, welche KI-Systeme aktuell verwendet werden und geplante Einsätze frühzeitig auf Risiken überprüfen. Darüber hinaus sollten sie interne Richtlinien und Schulungen einführen, um eine ausreichende KI-Kompetenz bei Mitarbeitern sicherzustellen und Risiken zu minimieren. Die Einführung eines KI-Beauftragten kann dabei helfen, die Compliance-Anforderungen zentral zu steuern. Zu der Notwendigkeit einer unternehmensinternen KI-Richtlinie haben wir bereits in einem früheren Beitrag ausführlich hingewiesen. Wenn Sie Unterstützung bei der Erstellung einer solchen Richtlinie benötigen, wenden Sie sich gerne vertrauensvoll an uns.